3.3.1 Характеристика антивирусных программ
Идеальным решением проблемы вирусов является предотвращение инфицирования: не следует допускать начального проникновения вируса в компьютерную систему. Этой цели, в общем, достичь невозможно, хотя предпринятые превентивные меры могут снизить вероятность успешного завершения вирусной атаки. Идеальный подход должен обеспечивать решение следующих задач:
обнаружение - если заражение произошло, оно должно быть немедленно обнаружено с установлением места обитания вируса;
идентификация - обнаружив заражение вирусом, необходимо идентифицировать его тип;
удаление - как только вирус будет идентифицирован, следует удалить все следы вируса из инфицированных программ и восстановить программы в их исходном виде. Важно удалить вирус из всех инфицированных систем, чтобы болезнь не распространялась дальше.
Технологии разработки вирусов и антивирусов идут рука об руку. Программы, которые позволяют обнаруживать и уничтожать вирусы называются АНТИВИРУСНЫМИ. Первые вирусы представляли собой сравнительно простые фрагменты кода и могли быть удалены с помощью относительно простых антивирусных программ. По мере усложнения вирусов антивирусное программное обеспечение тоже становилось все сложнее и изощреннее.
В [STEP 93] антивирусные программы разделяются на четыре поколения:
Первое поколение: обычные сканеры.
Второе поколение: эвристические анализаторы.
Третье поколение: мониторы.
Четвертое поколение: полнофункциональные системы защиты.
Антивирусные программы-сканеры первого поколения для идентификации вирусов использовали характерные для соответствующих вирусов сигнатуры. Вирусы могли содержать "групповые символы", но все копии вируса имели в основном одну и ту же структуру и неизменный код. Такие программы-сканеры, использующие сигнатуры, могли обнаруживать только известные вирусы. Другой тип сканеров первого поколения предполагал поиск несоответствий текущих значений длин файлов в сравнении со значениями, сохраненными в специальной базе данных.
Сканеры второго поколения уже не ориентированы на конкретные сигнатуры. Вместо этого в них начали применять эвристический анализ, с помощью которого можно сделать вывод о вероятном наличии вируса в программе. Одна из разновидностей таких сканеров предполагала поиск в программе фрагментов кода, характерного для вирусов. Например, сканер мог искать начало цикла шифрования, используемого полиморфным вирусом, и пытаться открыть ключ шифрования. Получив ключ, сканер мог расшифровать тело вируса, идентифицировать вирус, удалить его из программы и вернуть программу в рабочее состояние.
Программы третьего поколения представляют собой резидентные программы, выявляющие вирусы по выполняемым ими действиям, а не по их коду в инфицированной программе. Преимущество таких программ заключается в том, что для них не требуется постоянно обновлять базу данных сигнатур и эвристик для большего числа новых вирусов. Вместо этого достаточно определить относительно небольшой набор действий, характеризующих возможные проявления вируса.
Продукты четвертого поколения представляют собой пакеты, объединяющие в единое целое все существующие антивирусные технологии. Такой подход, помимо выполнения сканирования и наличия компонентов, позволяющих регистрировать определенные действия вирусов, предполагает наличие средств управления доступом. Эти средства позволяют ограничить возможности вирусов по проникновению в систему и внесению изменений в файлы под видом обновления.
С появлением пакетов четвертого поколения появилась возможность построить всеобъемлющую стратегию антивирусной защиты, являющейся органической частью общей безопасности компьютерных систем.
Различают следующие виды антивирусных программ:
программы-детекторы;
программы-доктора или фаги;
программы-ревизоры;
программы-вакцины или иммунизаторы;
программы-мониторы, или резидентные сторожа.
Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или флаги , а также программы-вакцины не только находят зараженные вирусами файлы, но и лечат их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы флаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы- доктора быстро устаревают, и требуется регулярное обновление их версий.
Программы–ревизоры относятся к самым надежным средствам от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а периодически или по желанию пользователя сравнивает текущее состояние с исходным. Обнаруженные изменения вводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля, дата и время модификации, другие параметры. Программы–ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут отличить изменения версии проверяемой программы от изменений, внесенных вирусом.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы–доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедриться.
Программы – мониторы или резидентные сторожа Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помо щ ью монитора можно остановить распостранение вируса на самой ранней стадии. Их цель - не пропустить вирус на компьютер. И поэтому они контролируют обращение к дискам с помощью средств DOS и BIOS. Фактически для операционной системы MS-DOS - это попытка добавить отсутствующие средства защиты. При обнаружении «подозрительного» действия программа-монитор либо блокирует выполнение такого действия до специального разрешения пользователя, либо просто выдаёт на экран предупреждающее сообщение, либо совершает другие специальные действия. М ониторы необходимо применять в следующих случаях:
запуск новых программ неизвестного происхождения;
во время подозрения на вирус;
некоторое время после удаления вируса для исключения его появления вновь.
В настоящее время фирмы-производители антивирусных средств поставляют, как правило, целые антивирусные комплексы, а не отдельные программы.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
- 1. Классификация компьютерных вирусов.
- 2. Загрузочные вирусы
- 3. Макро-вирусы
- 4. Файловые вирусы
- 4.1Overwriting
- 4.2 Parasitic
- 4.3 Вирусы без точки входа
- 4.4 Компаньон – вирусы
- 4.5 Файловые черви
- 4.6 Link-вирусы
- 4.7 Obj-, lib-вирусы и вирусы в исходных текстах
- 5. Резидентные вирусы
- 5.1 Dos-вирусы
- 5.2 Загрузочные вирусы
- 5.3 Windows-вирусы
- 6. Стелс-вирусы
- 6.1 Загрузочные вирусы
- 6.2 Файловые вирусы
- 6.3 Макро-вирусы
- 7. Полиморфик-вирусы
- 7.1 Полиморфные расшифровщики
- 8. Irc-черви
- 8.1 Irc-клиенты
- 8.2 Скрипт-черви
- 8.3 MIrc.Acoragil и mIrc.Simpsalapim
- 8.4 Win95.Fono
- 9. Сетевые вирусы
- 10. Прочие "вредные программы"
- 10.1 Троянские кони (логические бомбы)
- 10. 2 Утилиты скрытого администрирования (backdoor)
- 10. 3 Intended-вирусы
- 10. 4 Конструкторы вирусов
- 10. 5 Полиморфные генераторы
- Компьютерные вирусы
- 3.1 Общие понятия, структура и классификация
- 3.1.1 Когда появились компьютерные вирусы?
- 3.1.2 Вредоносные программы
- 3.1.3 Природа и структура вируса
- 3.1.4 Классификация компьютерных вирусов
- 3.1.5 Типы вирусов
- 3.2 Программные закладки
- 3.2.1 Общее понятие программной закладки
- 3.2.2 Классификация программных закладок
- 3.2.3 Модели воздействия программных закладок на компьютеры
- 3.2.4 Троянские программы
- 3.2.5 Клавиатурные шпионы
- 3.3 Антивирусные средства защиты
- 3.3.1 Характеристика антивирусных программ
- 3.3.2 Полное декодирование
- 3.3.3 Цифровая иммунная система
- 3.3.4 Защита от программных закладок
- 3.3.5 Как защитить систему от клавиатурных шпионов
- 3.3.6 Программный комплекс Dr.Web Enterprise Suite
- 3.3.7 Антивирус Касперского Personal Pro
- 3.3.8 Антивирусные утилиты Symantec, McAffee и BitDefender